Azure Active DirectoryをIDプロバイダーにする
Azure Active Directoryに認証を委任するには、OktaでIDプロバイダー(IdP)として構成する必要があります。
- 管理コンソールで、[セキュリティー] > に移動します [Identity Providers(IDプロバイダー)]に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
- [Name(名前)]フィールドに 「AAD」またはIDプロバイダーの名前を入力します。
- [AUTHENTICATION SETTINGS(認証設定)]エリアの以下のフィールドに入力します。
- IdP Username(IdPユーザー名):idpuser.emailを入力します。
- Filter(フィルター): オプションです。[Only allow usernames that match defined RegEx pattern(定義済みRegExパターンに一致するユーザー名のみを許可)]チェックボックスを選択し、IdPユーザー名をフィルターして、意図しないまたは特権を持つユーザーを認証することを避けるために標準的な式パターンを入力します。
- Match against(一致対象): [Okta Username(Oktaユーザー名)]を選択します。
- If no match is found(一致が見つからない場合): オプションです。[Create new user (JIT)(新しいユーザーを作成(JIT))]を選択します。
- [JIT SETTINGS(JITの設定)]エリアで以下のフィールドに入力します。
- Profile Master(プロファイルマスター): [Update attributes for existing users(既存のユーザーの属性を更新)]チェックボックスを選択します。
- Reactivation Settings(再アクティベーション設定): オプションです。Oktaチェックボックスで[Reactivate users who are deactivated in Okta(Oktaで非アクティブ化されたユーザーを再アクティブ化する)] と[Unsuspend users who are suspended(一時停止されているユーザーの一時停止を解除する)]を選択します。
- Group Assignments(グループ割り当て): オプションです。プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。
- [SAML PROTOCOL SETTINGS(SAMLプロトコル設定)] エリアの以下のフィールドに入力します。
- IdP Issuer URI(IdP発行者URL):以前に記録した Azure Active Directory [Azure AD Identifier(Azure AD識別子)] フィールドの値を入力します。
- IdP Single Sign-On URL(IdPシングルサインオンURL):以前に記録した Azure Active Directory [Login URL(ログインURL)] フィールドの値を入力します。
IdP Signature Certificate(IdP署名証明書):[Browse files(ファイルを参照)]をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、[Open(開く)]をクリックします。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
- IDプロバイダーページで、AAD IDプロバイダーの展開(
) アイコンをクリックし、次のフィールドの値を記録します。
- Assertion Consumer Service URL(アサーションコンシューマーサービスURL)
- Audience URL(オーディエンスURL)
- Microsoft Azureポータルにサインインし、左上のポータルメニューアイコンをクリックして、 [Azure Active Directory]を選択します。
- 左側のメニューで[ Enterprise Applications(エンタープライズ・アプリケーション)]をクリックし、アプリケーションのリストで[Okta]を選択します。
- 左メニューで [Single sign-on(シングルサインオン)]をクリックし、 [SAML]をクリックします。
- [Basic SAML Configuration(基本SAML構成)]エリアの[Edit(編集)] をクリックし、以下のフィールドに入力します。
- Identifier (Entity ID)(識別子(エンティティID): ステップ8で記録したオーディエンスURIの値を入力します。
- Reply URL (Assertion Consumer Service URL)(返答URL(アサーションコンシューマーサービスURL): ステップ8で記録したアサーションコンシューマーサービスURLの値を入力します。
- [Save(保存)]と [Close(閉じる)]をクリックします。